about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
ایران
مطالب پربازدید
استفاده
1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

نگاهی
1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

تمرکز
1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

انتشار شده در تاریخ

بومی‌سازی سامانه شکار آسیب‌پذیری توسط جوانان ایرانی

سایبربان با یکی از اعضای گروه راورو در حاشیه نمایشگاه صنایع بومی پدافند غیرعامل گفتگو کرد.

به گزارش کارگروه بین الملل سایبربان؛ محمدعلی کریمیان، کارشانس امنیت سایبری و یکی از اعضای گروه در ششمین نمایشگاه صنایع بومی پدافند غیرعامل و معرفی این گروه گفت:

راورو پلتفرمی است که در حوزه باگ بانتی فعالیت می‌کند. اگر بخواهیم کمی ساده‌تر در مورد آن صحبت کنیم، می‌شود از آن به عنوان پرداخت پاداش به ازای گزارش آسیب‌پذیری یاد کرد. واقعیتی که وجود دارد این است که هر سامانه‌ای که در حال توسعه است، ممکن است از نظر ساختاری، اشتباه انسانی یا مشکلات نرم‌افزاری، تعدادی باگ یا حفره داشته باشد. وقتی از باگ یا حفره امنیتی صحبت می‌کنیم، منظور باگ‌هایی است که بحث CIA یا یکپارچگی، در دسترس‌پذیری و محرمانگی سامانه یا داده شما را تحت تأثیر قرار می‌دهند.

محمدعلی کریمیان نسبت به دیدگاه گروه راورو از هکرها توضیح داد:

در این پلتفرم به جای این که با جامعه هکری مقابله کنیم، از ظرفیت و تخصص آن‌ها استفاده می‌کنیم تا هم امنیت سامانه‌های خود را بالا ببریم و هم از تخصص و حرفه‌ای آن‌ها، استفاده کنیم. از نظر ما هکر، یک متخصص و نخبه است. کلاه‌سفید یا مشکی، رنگ آن‌هم برای ما زیاد مهم نیست، بیشتر تخصص آن‌ها اهمیت دارد. ما از این تخصص‌ها برای امن کردن سامانه‌ها استفاده می‌کنیم. ما حدود 10 سال است که در این حوزه فعالیت داشته و هرکدام از اعضای ما سابقه‌ی کار با سازمان‌های دولتی، وزارتخانه‌ها و شرکت‌های خصوصی را در کارنامه خود دارند. ما متوجه شدیم که این ضعف و مشکل در ساختار کشور وجود دارد.

کریمیان با بیان مثالی افزود:

اگر من از شما یا شرکتی، باگی را در اختیار داشته باشم و در آن شرکت یا سازمان، با فردی آشنا باشم که به من اعتماد دارد، شاید آن باگ را از من قبول کنند؛ اما اگر بخواهم به صورت ناشناس این باگ را بدون وجود هیچ اعتماد دو طرفه‌ای، به آن سازمان گزارش کنم، درصد سازمان‌هایی که آن را می‌پذیرند بسیار کم است. اگر هم باگ را قبول کنند، در رابطه با نحوه پرداخت و قیمت‌گذاری با مشکلات زیادی مواجه می‌شوند. چالش‌هایی که ما در چند سال گذشته داشتیم و می‌توان نمونه‌های آن را در داده‌هایی که فاش شده‌اند مشاهده کرد. در صورتی که اگر توافقی صورت می‌گرفت و دو طرف به خواسته‌های هم احترام می‌گذاشتند، چنین اتفاقاتی رخ نمی‌داد.

کارشناس امنیت سایبری یاد شده با اشاره به نیاز هکرها شرح داد:

بعد از بررسی‌های صورت گرفته، متوجه شدیم در جامعه هکری معمولاً بسیاری از افراد به دنبال دیده شدن، کسب شهرت و درآمد هستند. این افراد می‌خواهند سامانه‌ها امن شوند. ما این 3 نیاز را موردبررسی قراردادیم و در بحث ارزش‌گذاری تعدادی راه‌کار ارائه کردیم.

عضو گروه راورو در مورد به شیوه ارزش گذاری باگ‌های کشف شده اظهار کرد:

ما یک فرمول ارزش‌گذاری قیمت باگ به وجود آوردیم. برای مثال قیمت یک باگ RCE در یک اپراتور و یک شرکت نوپا با یکدیگر کاملاً متفاوت هستند. ما ضریب‌های متفاوتی را تعریف و برای تأثیرگذاری و دسته‌بندی باگ‌ها از استانداردهای VRT و CVSS بهره گرفتیم. ما به فرمولی جامع و استاندارد دست‌یافتیم که شرکت‌ها و سازمان‌ها را بر اساس مجموعه برند و ارزش آن‌ها دسته‌بندی کرده است. در نهایت ما به عنوان یک پلتفرم واسط با شرکت‌ها و سازمان‌ها قرارداد بسته و آن‌ها را ملزم به رعایت قوانین می‌کنیم. به این معنی که اگر باگی توسط هکر یا شکارچی گزارش شد و تیم داوری و کارشناس فنی ما آن را تائید کرد، سازمان طرف قرارداد موظف به پرداخت وجه می‌شود. چالشی که تاکنون وجود داشت و تعدادی از سازمان‌ها پس از دریافت اطلاعات باگ، پولی پرداخت نمی‌کردند یا مبلغ کمی را برای آن در نظر می‌گرفتند.

وی خاطر نشان کرد:

از طرف دیگر ما نگرانی سازمان‌ها را از بین می‌بریم. بعضی از سازمان‌ها نگران این موضوع هستند که اگر پول را پرداخت کنند، ممکن است هکر به سو استفاده از باگ بپردازد. ما داده و حریم خصوصی هکر را کاملاً حفظ کرده و در اختیار شخصی قرار نمی‌دهیم؛ مگر این که خلاف قوانینی که تعهد کرده است، رفتاری را انجام دهد. ما بر اساس اشتباهی که صورت گرفته و حکم دادگاه و روال همه کشورهای جهان، هکر را معرفی می‌کنیم. این فرآیند صرفاً زمانی اتفاق می‌افتد که هکر پول را بگیرد و بخواهد از دسترسی خود سوءاستفاده کند. در رابطه با جزئیات این موضوع نمی‌توان زیاد توضیح داد؛ اما راه‌هایی برای شناسایی و تشخیص این موضوع در اختیار داریم.

محمدعلی کریمیان در رابطه با جامعه متخصصان راورو گفت:

اقدام یاد شده برای سازمان چند مزیت مختلف دارد. اول این که جامعه متخصصانی که برای آن‌ها کار می‌کنند، می‌تواند از یک شخص 16 ساله تا متخصص بزرگ‌سال متغیر باشد و محدودیتی در این زمینه وجود ندارد. در گام اول هیچ‌گونه اطلاعات هویتی از هکرها گرفته نمی‌شود و کاملاً آزاد هستند تا به ثبت گزارش بپردازند. سازمان‌ها می‌توانند گروه‌هایی که با آن‌ها همکاری می‌کنند را شناسایی کنند. همچنین امکان این که از میان گروه‌های دسته‌بندی شده توسط ما، هکرها و شکارچی‌ها را انتخاب کنند، وجود دارد. پلتفرم ما، این افراد را بر پایه تجربه و سابقه کاری که دارند به دسته‌هایی مانند تازه‌کار، میان رده و متخصص تقسیم‌بندی می‌کند. این افراد دسته‌بندی می‌شوند و یک سازمان بر اساس نیاز خود تصمیم می‌گیرد که برای مثال با گروه متخصصان کار کند. در نتیجه ما نیز هکرهای معتبر و متخصص را به آن‌ها معرفی می‌کنیم.
حتی یک بحثی به نام شناسایی هکر را داریم که اگر یک شکارچی یا هکر، علاقه‌مند باشد تا اطلاعات هویتی خود را برای ما ارسال کند، ما خواهیم توانست از وی به عنوان هکری مورد تائید واقع شده، یک تیک آبی به آن بدهیم و در سازمان‌های حساس و دولتی که فرآیند یاد شده را از ما طلب می‌کنند، از آن‌ها استفاده کنیم.

کریمیان با اشاره به مشکلات فعالان داخلی تا پیش از راه اندازی راورو توضیح داد:

در نهایت اکوسیستم یاد شده کمک می‌کند تا برای افزایش امنیت سامانه‌های ایرانی از تخصص جوان‌های ایرانی استفاده کنیم. فعالیتی که دوستان من هم‌اکنون برای پلتفرم‌های خارجی انجام می‌دهند. این کار توسط هکروان، باگ کرود و شرکت‌هایی مانند مایکروسافت و گوگل در سرتاسر جهان انجام می‌شود. دوستان ما در تلاش هستند گزارش را از آن‌ها کشف کرده و ارسال کنند. این در حالی است که می‌دانند ما تحریم هستیم و اگر متوجه شوند ایرانی هستیم، ممکن است پول مسدود یا به سختی وارد کشور شود. آن‌ها همه‌ی این خطرات را پذیرفته، اما با سازمان‌های داخلی کار نمی‌کردند؛ زیرا این‌چنین پلتفرمی در گذشته وجود نداشت که بتواند نسبت به پرداخت پول، عدم ایجاد مشکل قانونی و شفاف بودن فرآیندها اطمینان بدهد.
ما در پلتفرم خود سعی کردیم نیازهای جامعه مخاطب که از آن‌ها با عنوان شکارچی باگ یاد می‌کنیم را تحت پوشش قرار داده و همچنین نگرانی‌های سازمانی را برطرف کنیم.

کارشناس یاد شده نسبت به سابقه فعالیت اعضای راورو افزود:

ما خارج از پلتفرم راورو که در الکامپ معرفی آن صورت گرفت. همچنین یک جایزه نوآوری نیز از معاونت فناوری ریاست جمهوری دریافت کرده و به عنوان یک نوآور معرفی شدیم. سامانه ما در نمایشگاه پدافند سایبری سال جاری شروع به کار کرد. با وجود این لازم به ذکر است، افرادی که با ما همکاری دارند، حدود 10 سال است که در این زمینه فعالیت می‌کنند. این فعالیت با پلتفرم راورو صورت نگرفته است؛ اما به‌صورت شخصی و جداگانه، در پلتفرم‌های خارجی یا شرکت‌های داخلی، ثبت گزارش داشتیم و این فرآیند را قبلاً انجام داده‌ایم؛ بنابراین با توجه به احساس نیاز و خلأ موجود در این حوزه، به منظور پر کردن این شکاف، سامانه یاد شده را به وجود آوردیم.

عضو مذکور اظهار کرد:

ما سعی کردیم این موضوع را به صورت جزئی و حساس پیگیری کنیم؛ به همین دلیل راه‌اندازی سامانه ما به طول انجامید. زیرا در هر فاز از متخصصان این حوزه بازخورد دریافت کرده و جلسات کارشناسی متعددی برگزار می‌کردیم. با شرکت‌ها و سازمان‌های خصوصی صحبت کردیم و فهرستی از دغدغه‌های آن‌ها تهیه نمودیم. ما تلاش کردیم تا سامانه مذکور، دو طرف را تا حد امکان راضی نگه دارد. همه‌ی ویژگی‌هایی که ما برای پیاده‌سازی آن‌ها تلاش کردیم، نیازها و دغدغه‌هایی بود که هر دو طرف داشتند. با وجود این تا زمانی که سامانه تحت‌فشار کاری قرار گرفته و راه‌اندازی شود، ممکن است کمبودهایی وجود داشته باشد. ما در تلاش هستیم پویا بوده و در لحظه به این نیازها پاسخ دهیم.

وی در رابطه با هدف راورو ادامه داد:

هدف ما از راه‌اندازی راورو، ایجاد فرهنگ دریافت گزارش آسیب‌پذیری است. به عبارت دیگر بسیاری از سازمان‌های ما موردحمله قرار می‌گیرند و متأسفانه احساس می‌کنند، اگر گزارش آسیب‌پذیری را فاش کنند، یک نقطه‌ضعف برای آن‌ها به وجود می‌آید. در صورتی که، این‌چنین نیست. درست است که شاید کمبودها و کاستی‌هایی وجود داشته است؛ اما اگر شما تجربیات و دانش خود را به اشتراک بگذارید، می‌توانید به سازمان‌های دیگر کمک کنید تا جلوی نقاط آسیب‌پذیر مشابه خود را بگیرند.
هدف ما در راورو، افشای گزارش آسیب‌پذیری است. کاری که شرکت‌های بزرگ سرتاسر دنیا در حال انجام آن هستند و گوگل مطرح‌ترین آن‌ها به حساب می‌آید تا سازمان و سامانه‌ها مسئولیت و تعهد خود نسبت به مشتری را بپذیرند. کاری که در دنیا انجام می‌شود ارائه مهلت 90 روزه به ازای هر باگ است و پس از پایان این مدت، گزارشی محدود از آسیب‌پذیری منتشر می‌شود تا مشتریان و کاربران عادی نیز نسبت به آن آگاه شوند.
ما سعی می‌کنیم به عنوان اولین کار فرهنگ امنیت سایبری را تقویت کنیم. بازار کار در فضای سایبری ایران بسیار محدود است. ما سعی می‌کنیم به واسطه پلتفرم خود، فضایی را برای متخصصان مستقل ایجاد کنیم که علاقه‌ای به امضای قرارداد کاری ندارند. در نهایت افزایش امنیت سامانه‌های داخلی از دغدغه‌های ما است.

موضوع:

تازه ترین ها
انگشتر
1404/07/15 - 07:04- ابزارهای هوشمند

انگشتر ۵ گرمی موس کامپیوتر را بازنشسته می‌کند

برای دهه‌ها، موس رایانه سنگ بنای تعامل دیجیتال بوده، اما یک اختراع جدید این وضعیت را تغییر می‌دهد.

هوش
1404/07/15 - 07:01- هوش مصنوعي

هوش مصنوعی چین در اعماق دریا؛ اژدهای سرخ در حال آماده‌سازی چه چیزی است؟

چین از نسل تازه‌ای از زیردریایی‌های بدون سرنشین رونمایی کرده که به گفته منابع نظامی، توانایی «چرخش با شعاع صفر» دارند و می‌توانند بدون جلب توجه به رادار یا سونار، در عمق دریا حرکت کنند.

مقابله
1404/07/15 - 06:53- سایرفناوری ها

مقابله تازه آمریکا با نفوذ فناوری چینی

کمیسیون ارتباطات فدرال آمریکا این ماه به تشدید سخت‌گیری در زمینه استفاده از تجهیزات مخابراتی ساخته شده توسط شرکت‌های چینی رأی خواهد داد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.